Clausula Tipo Ue

ES Diario Oficial de las Comunidades Europeas4.7.2001 L 181/19

II

(Actos cuya publicacin no es una condicin para su aplicabilidad)

COMISIN

DECISIN DE LA COMISINde 15 de junio de 2001

relativa a clusulas contractuales tipo para la transferencia de datos personales a un tercer pasprevistas en la Directiva 95/46/CE

[notificada con el nmero C(2001) 1539]

(Texto pertinente a efectos del EEE)

(2001/497/CE)

LA COMISIN DE LAS COMUNIDADES EUROPEAS,

Visto el Tratado constitutivo de la Comunidad Europea,

Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a laproteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a la librecirculacin de estos datos (1), y, en particular, el apartado 4 de su artculo 26,

Considerando lo siguiente:

(1) Con arreglo a la Directiva 95/46/CE, los Estados miembros dispondrn que la transferencia a untercero pas de datos personales nicamente pueda efectuarse cuando el tercer pas de que se trategarantice un nivel de proteccin de datos adecuado y las disposiciones de Derecho nacional de losEstados miembros, adoptadas con arreglo a los dems preceptos de la presente Directiva, se cumplancon anterioridad a la transferencia.

(2) No obstante, el apartado 2 del artculo 26 de la Directiva 95/46/CE establece que los Estadosmiembros podrn autorizar, con sujecin a determinadas garantas, una transferencia o una serie detransferencias de datos personales a terceros pases que no garanticen un nivel de proteccinadecuado. Dichas garantas podrn derivarse, en particular, de clusulas contractuales apropiadas.

(3) De conformidad con la Directiva 95/46/CE, el nivel de proteccin de los datos debe apreciarseteniendo en cuenta todas las circunstancias relacionadas con la transferencia o la serie de transferen-cias. El Grupo de trabajo de proteccin de las personas en lo que respecta al tratamiento de datospersonales creado por dicha Directiva (2) ha emitido directrices que ayudan a realizar la evalua-cin (3).

(1) DO L 281 de 23.11.1995, p. 31.(2) La direccin web del Grupo de trabajo es la siguiente:

http://www.europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm.(3) WP 4 (5020/97) Primeras orientaciones sobre la transferencia de datos personales a terceros pases Posibles

formas de evaluar la adecuacin, documento de debate adoptado por el Grupo de trabajo el 26 de junio de 1997.WP 7 (5057/97) Evaluacin de la autorregulacin industrial: En qu casos realiza una contribucin significativa alnivel de proteccin de datos en un tercer pas?, documento de trabajo adoptado por el Grupo de trabajo el 14 deenero de 1998.WP 9 (3005/98) Conclusiones preliminares sobre la utilizacin de disposiciones contractuales en caso de transferenciade datos personales a terceros pases, documento de trabajo adoptado por el Grupo de trabajo el 22 de abril de1998.WP 12 Transferencias de datos personales a terceros pases: aplicacin de los artculos 25 y 26 de la Directiva sobreproteccin de datos de la UE, documento de trabajo adoptado por el Grupo de trabajo el 24 de julio de 1998; sepuede consultar en la siguiente direccin web de la Comisin Europea:http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/wp12es.pdf.

ES Diario Oficial de las Comunidades Europeas 4.7.2001L 181/20

(4) El apartado 2 del artculo 26 de la Directiva 95/46/CE, que ofrece flexibilidad para una entidad quedesee transferir datos a terceros pases, y el apartado 4 del mismo artculo, que establece clusulascontractuales tipo, son esenciales para mantener el necesario flujo de datos personales entre laComunidad Europea y terceros pases sin imponer cargas innecesarias a los operadores econmicos.Ambos artculos cobran especial importancia en vista de la escasa probabilidad de que la Comisinadopte resoluciones de adecuacin de conformidad con el apartado 6 del artculo 25 para numerosospases a corto o incluso medio plazo.

(5) Las clusulas contractuales tipo son slo una de las diversas posibilidades recogidas en la Directiva95/46/CE para la transferencia legtima de datos personales a un tercer pas, junto con el artculo 25y los apartados 1 y 2 del artculo 26. Facilitarn enormemente a las entidades la transferencia dedatos personales a terceros pases mediante la incorporacin de las clusulas contractuales tipo en uncontrato. Las clusulas contractuales tipo solamente estn relacionadas con la proteccin de datos. Elexportador de datos y el importador de datos tienen plena libertad para incluir cualquier otraclusula sobre cuestiones relacionadas con sus negocios, tales como clusulas sobre asistencia mutuaen caso de conflicto con un interesado o una autoridad de control, que consideren pertinentes parael contrato, siempre que no contradiga las clusulas contractuales tipo.

(6) La presente Decisin debe entenderse sin perjuicio de las autorizaciones nacionales que puedanconceder los Estados miembros de conformidad con las disposiciones nacionales de aplicacin delapartado 2 del artculo 26 de la Directiva 95/46/CE. Las circunstancias de las transferenciasespecficas pueden exigir que los responsables del tratamiento de datos proporcionen distintasgarantas a efectos del apartado 2 del artculo 26. En todo caso, la presente Decisin tendr comoefecto nicamente exigir a los Estados miembros que no se nieguen a reconocer que las clusulascontractuales descritas en ella proporcionan las garantas adecuadas, por lo que no afectar deninguna manera a otras clusulas contractuales.

(7) El mbito de la presente Decisin se limita a establecer que las clusulas contenidas en su anexopueden ser utilizadas por un responsable del tratamiento establecido en la Comunidad para ofrecergarantas suficientes a efectos del apartado 2 del artculo 26 de la Directiva 95/46/CE. La transfe-rencia de datos personales a terceros pases es una operacin de tratamiento en un Estado miembro,cuya legitimidad est sujeta a las disposiciones de Derecho nacional. Las autoridades de control delos Estados miembros, en ejercicio de sus funciones y capacidades recogidas en el artculo 28 de laDirectiva 95/46/CE, seguirn siendo competentes para evaluar si el exportador de datos ha cumplidola legislacin nacional por la que se aplica lo dispuesto en la Directiva 95/46/CE y, en particular, todaregla especfica relativa a la obligacin de comunicar la informacin a tenor de la misma.

(8) La presente Decisin no cubre la transferencia de datos personales por responsables del tratamientoestablecidos en la Comunidad a destinatarios establecidos fuera del territorio comunitario que actensolamente como encargados del tratamiento. Estas transferencias no exigen las mismas garantasporque el encargado del tratamiento acta exclusivamente en nombre del responsable. La Comisintiene la intencin de abordar este tipo de transferencias en una decisin posterior.

(9) Resulta oportuno establecer los detalles mnimos que debern especificar las partes en el contratosobre la transferencia. Los Estados miembros deben conservar la capacidad de adaptar la informacinexigida a las partes. El funcionamiento de la presente Decisin ser revisado a la luz de la experienciaadquirida.

(10) La Comisin Europea considerar asimismo en el futuro si las clusulas contractuales tipo remitidaspor las organizaciones empresariales u otras partes interesadas ofrecen garantas adecuadas deconformidad con la Directiva 95/46/CE.

(11) As como las partes deben tener la libertad de convenir las normas sustantivas sobre proteccin dedatos que debe cumplir el importador de los datos, existen determinados principios sobre proteccinde datos que deben aplicarse en todo caso.

(12) Los datos deben tratarse y usados o comunicados posteriormente slo con objetivos precisos, sin quedeban conservarse ms tiempo del necesario.

(13) De conformidad con el artculo 12 de la Directiva 95/46/CE, el interesado debe tener el derecho deacceder a todos los datos que le conciernan y, en lo que proceda, a la rectificacin, destruccin obloqueo de determinados datos.


(14) Las posteriores transferencias de datos personales a otros responsables del tratamiento establecidosen un tercer pas deben permitirse slo bajo determinadas condiciones, a fin, en particular, degarantizar que se facilite a los interesados informacin correcta y que tengan stos la posibilidad deformular objeciones o, en determinados casos, de denegar su consentimiento.

(15) Las autoridades de control, adems de evaluar si las transferencias a terceros pases cumplen lalegislacin nacional, deben desempear un papel clave en este mecanismo contractual, garantizandola adecuada proteccin de los datos personales tras la transferencia. Bajo circunstancias especficas,las autoridades de control de los Estados miembros deben conservar la facultad de prohibir osuspender una transferencia o una serie de transferencias de datos basada en las clusulas contrac-tuales tipo en aquellos casos excepcionales en los que se haya establecido que una transferencia sobreuna base contractual pueda tener un importante efecto negativo sobre las garantas que propor-cionan una proteccin adecuada al interesado.

(16) Las clusulas contractuales tipo deben ser exigibles no solamente por las organizaciones que seanparte del contrato, sino tambin por los interesados, en particular cuando stos sufran un dao comoconsecuencia del incumplimiento del contrato.

(17) La legislacin aplicable al contrato debe ser la que est en vigor en el Estado miembro en el que sehalle establecido el exportador de datos y que permita a un tercer beneficiario exigir el cumplimientode un contrato. Debe permitirse a los interesados ser representados por asociaciones u otrasentidades si as lo desean y si lo autoriza la legislacin nacional.

(18) Con objeto de reducir las dificultades prcticas que pudieran experimentar los interesados al intentarexigir el respeto de sus derechos a tenor de estas clusulas contractuales tipo, el exportador de datosy el importador de datos se considerarn responsables solidarios de los daos y perjuicios resultantesde un incumplimiento de las estipulaciones sujetas a la clusula de tercer beneficiario.

(19) El interesado tiene derecho a emprender acciones y percibir una indemnizacin del exportador dedatos, del importador de datos o de ambos por daos y perjuicios resultantes de cualquier accinincompatible con las obligaciones estipuladas en las clusulas contractuales tipo. Ambas partespodrn ser eximidas de esta responsabilidad si demuestran que ninguna de ellas es responsable.

(20) La responsabilidad solidaria no se ampla a las estipulaciones que no estn cubiertas por la clusulade tercer beneficiario y no obliga a una parte a pagar los daos resultantes del tratamiento ilcito porparte de otra parte. Aunque esta indemnizacin entre las partes no es un requisito para la adecuacinde la proteccin de los interesados y, por lo tanto, puede suprimirse, figura en las clusulascontractuales a efectos de clarificacin y para evitar a las partes la necesidad de negociar individual-mente clusulas de indemnizacin.

(21) En caso de conflicto entre las partes y el interesado que no se resuelva de manera amistosa, y si elinteresado invoca la clusula de tercer beneficiario, las partes aceptan ofrecer al interesado la eleccinentre mediacin, arbitraje o procedimiento judicial. La amplitud de eleccin real del interesadodepender de la disponibilidad de sistemas fiables y reconocidos de mediacin y arbitraje. Lamediacin por parte de las autoridades de control de los Estados miembros debe constituir unaopcin posible, en caso de stas presten tal servicio.

(22) El Grupo de trabajo de proteccin de las personas en lo que respecta al tratamiento de datospersonales, creado por el artculo 29 de la Directiva 95/46/CE, ha emitido un dictamen sobre el nivelde proteccin que ofrecen las clusulas contractuales tipo incluidas en el anexo, dictamen que se hatenido en cuenta para la preparacin de la presente Decisin (1).

(23) Las medidas previstas en la presente Decisin se ajustan al dictamen del Comit previsto en elartculo 31 de la Directiva 95/46/CE.

(1) Dictamen no 1/2001 adoptado por el Grupo de trabajo el 26 de enero de 2001 (DG MARKT 5102/00 WP 38); sepuede consultar en el sitio web Europa de la Comisin Europea.


HA ADOPTADO LA PRESENTE DECISIN:

Artculo 1

Se considera que las clusulas contractuales tipo incluidas en el anexo ofrecen las garantas adecuadas conrespecto a la proteccin de la vida privada y de los derechos y libertades fundamentales de las personas, ascomo respecto al ejercicio de los correspondientes derechos, segn exige el apartado 2 del artculo 26 de laDirectiva 95/46/CE.

Artculo 2

La presente Decisin aborda nicamente la adecuacin de la proteccin otorgada por las clusulascontractuales tipo para la transferencia de datos personales, establecidas en el anexo. No afecta a laaplicacin de otras disposiciones nacionales por las que se aplique la Directiva 95/46/CE, relacionadas conel tratamiento de datos personales en los Estados miembros.

La presente Decisin no se aplica a la transferencia de datos personales por responsables del tratamientoestablecidos en la Comunidad a destinatarios establecidos fuera del territorio comunitario que actensolamente como encargados del tratamiento.

Artculo 3

A efectos de la presente Decisin:

a) sern aplicables las definiciones contenidas en la Directiva 95/46/CE;

b) se entender por categoras especiales de datos los datos contemplados en el artculo 8 de dichaDirectiva;

c) se entender por autoridad de control la autoridad contemplada en el artculo 28 de dicha Directiva;

d) se entender por exportador de datos el responsable del tratamiento que transfiera los datos perso-nales;

e) se entender por importador de datos el responsable del tratamiento que convenga en recibir delexportador de datos datos personales para su posterior tratamiento de conformidad con los trminos dela presente Decisin.

Artculo 4

1. Las autoridades competentes de los Estados miembros, sin perjuicio de su facultad para iniciaracciones destinadas a garantizar el cumplimiento de las disposiciones Derecho nacional adoptadas conarreglo a los captulos II, III, V y VI de la Directiva 95/46/CE, podrn ejercer sus facultades para prohibir osuspender los flujos de datos hacia terceros pases con objeto de proteger a las personas fsicas relacin conel tratamiento de sus datos personales en los siguientes casos:

a) si se determina que la legislacin a la que est sujeto el importador de datos le impone desviaciones delas normas correspondientes sobre proteccin de datos que vayan ms all de las restricciones necesariasen una sociedad democrtica, como establece el artculo 13 de la Directiva 95/46/CE, cuando talesexigencias puedan tener un importante efecto negativo sobre las garantas proporcionadas por lasclusulas contractuales tipo; o

b) si una autoridad competente decide que el importador de datos no ha respetado las clusulas contrac-tuales; o

c) si existe la probabilidad sustancial de que las clusulas contractuales tipo contenidas en el anexo no seestn respetando, o no se respeten en el futuro, y la continuacin de la transferencia provoque un riesgoinminente de daos graves para los interesados.

2. La prohibicin o suspensin con arreglo al apartado 1 se levantar tan pronto como desaparezcan lasrazones para dicha prohibicin o suspensin.

3. Cuando los Estados miembros adopten medidas de conformidad con los apartados 1 y 2, informarninmediatamente de ello a la Comisin, que remitir la informacin a los dems Estados miembros.


Artculo 5

La Comisin evaluar el funcionamiento de la presente Decisin basndose en la informacin disponibletres aos despus de su notificacin a los Estados miembros. Informar de los resultados al Comit creadoen virtud del artculo 31 de la Directiva 95/46/CE. Incluir cualquier prueba que pudiera afectar a laevaluacin relativa a la adecuacin de las clusulas contractuales tipo y cualquier prueba de que la presenteDecisin se est aplicando de manera discriminatoria.

Artculo 6

La presente Decisin ser aplicable a partir del 3 de septiembre de 2001.

Artculo 7

Los destinatarios de la presente Decisin sern los Estados miembros.

Hecho en Bruselas, el 15 de junio de 2001.

Por la Comisin

Frederik BOLKESTEIN

Miembro de la Comisin


ANEXO


Apndice 1

a las clusulas contractuales tipo


Apndice 2


Principios obligatorios para la proteccin de datos contemplados en el prrafo primero de la letra b) de laclusula 5

Los presentes principios para la proteccin de datos se leern e interpretarn a la luz de lo dispuesto (principios yexcepciones pertinentes) en la Directiva 95/46/CE.

Se aplicarn con sujecin a las normas obligatorias de la legislacin nacional aplicable a los importadores de datos, que noexcedan de lo necesario en una sociedad democrtica sobre la base de uno de los intereses enumerados en el apartado 1del artculo 13 de la Directiva 95/46/CE, es decir, cuando constituyan una medida necesaria para la salvaguardia de laseguridad del Estado, la defensa, la seguridad pblica, la prevencin, la investigacin, la deteccin y la represin deinfracciones penales o de las infracciones de la deontologa en las profesiones reglamentadas, un inters econmico yfinanciero importante del Estado, o la proteccin del interesado o de los derechos y libertades de otras personas:

1. Limitacin de la finalidad: Los datos se tratarn y se utilizarn o transferirn ulteriormente slo para las finalidadesconcretas del apndice 1 de las clusulas. Los datos no se conservarn durante ms tiempo del necesario para dichasfinalidades.

2. Calidad y proporcionalidad de los datos: Los datos sern precisos y, en caso necesario, se mantendrn actualizados. Losdatos sern adecuados, pertinentes y no excesivos en relacin con la finalidad de su transferencia y tratamientoposterior.

3. Transparencia: Se deber facilitar a los interesados informacin sobre la finalidad del tratamiento y la identidad delresponsable del tratamiento de los datos en el tercer pas, as como cualquier otra informacin en la medida en que seanecesaria para garantizar el tratamiento leal, a menos que dicha informacin ya la haya proporcionado el exportadorde datos.

4. Seguridad y confidencialidad: El responsable del tratamiento de los datos deber adoptar medidas tcnicas y deorganizacin apropiadas para la seguridad frente a los riesgos que presente el tratamiento, por ejemplo, el acceso noautorizado. Las personas que acten bajo la autoridad del responsable del tratamiento, incluyendo el encargado deltratamiento, no tratarn los datos a menos que reciban instrucciones del responsable.

5. Derechos de acceso, rectificacin, supresin y bloqueo de los datos: Segn prev el artculo 12 de la Directiva 95/46/CE, elinteresado tendr el derecho de acceso a todos los datos que le conciernan y que estn siendo tratados, as como elderecho a rectificar, suprimir o bloquear dichos datos cuando su tratamiento no cumpla los principios establecidos enel presente apndice, en particular porque sean incompletos o inexactos. Tambin podr oponerse al tratamiento de losdatos que le conciernan por motivos legtimos imperiosos relacionados con su situacin particular.

6. Restricciones a la transferencia ulterior: La posterior transferencia de datos personales del importador de datos a otroresponsable del tratamiento establecido en un tercer pas que no proporcione proteccin adecuada o no amparado poruna Decisin de la Comisin adoptada con arreglo al apartado 6 del artculo 25 de la Directiva 95/46/CE (transferenciaulterior) solamente podr tener lugar si:

a) los interesados, en el caso de categoras especiales de datos, han dado su consentimiento de forma inequvoca parala transferencia ulterior, o, en otros casos, han tenido la oportunidad de ejercer su derecho de formular objeciones.

La informacin mnima que se debe proporcionar a los interesados incluir, en un idioma comprensible para ellos:

la finalidad de la transferencia ulterior,

la identificacin del exportador de datos establecido en la Comunidad,

las categoras de destinatarios posteriores de los datos y los pases de destino, as como

una explicacin de que, tras la transferencia ulterior, los datos podrn ser tratados por un responsable deltratamiento establecido en un pas donde no haya un nivel adecuado de proteccin de la vida privada de laspersonas; o

b) el exportador de datos y el importador de datos acuerdan la adhesin a las clusulas de otro responsable deltratamiento, que pase con ello a ser parte de las presentes clusulas y asuma las mismas obligaciones que elimportador de datos.

7. Categoras especiales de datos: Cuando se traten datos que revelen el origen racial o tnico, opiniones polticas, creenciasreligiosas o filosficas o pertenencia a organizaciones sindicales, datos relativos a la salud o a la vida sexual, y datosrelacionados con infracciones, condenas penales o medidas de seguridad, debern disponerse garantas adicionales, aefectos de la Directiva 95/46/CE, en particular medidas apropiadas de seguridad como la codificacin de los datos parasu transmisin o el mantenimiento de un registro de acceso a datos delicados.

8. Mrketing directo: Cuando el tratamiento de los datos se realice con fines de mrketing directo, debern, existirprocedimientos efectivos que permitan al interesado ejercer en cualquier momento el derecho de exclusin de suinformacin personal para estos fines.


9. Decisin individual automatizada: Los interesados tendrn derecho a no ser objeto de una decisin basada exclusivamenteen un tratamiento automatizado de los datos, a menos que se tomen otras medidas que garanticen el inters legtimode la persona, tal como establece el apartado 2 del artculo 15 de la Directiva 95/46/CE. Cuando la finalidad de latransferencia sea tomar una decisin automatizada contemplada en el artculo 15 de la Directiva 95/46/CE, que tengaefectos jurdicos sobre el interesado o que le afecte de manera significativa y que se base nicamente en un tratamientoautomatizado de datos destinado a evaluar determinados aspectos de su personalidad, como su rendimiento laboral,crdito, fiabilidad, conducta, etc. el interesado tendr el derecho de conocer los motivos de dicha decisin.

Apndice 3


Principios obligatorios para la proteccin de datos contemplados en el prrafo segundo de la letra b) de laclusula 5

1. Limitacin de la finalidad: Los datos se tratarn y se utilizarn o transferirn ulteriormente slo para las finalidadesconcretas del apndice 1 de las clusulas. Los datos no se conservarn durante ms tiempo del necesario para dichasfinalidades.

2. Derechos de acceso, rectificacin, supresin y bloqueo de los datos: Segn prev el artculo 12 de la Directiva 95/46/CE, elinteresado tendr el derecho de acceso a todos los datos que le conciernan y que estn siendo tratados, as como elderecho a rectificar, suprimir o bloquear dichos datos cuando su tratamiento no cumpla los principios establecidos enel presente apndice, en particular porque sean incompletos o inexactos. Tambin podr oponerse al tratamiento de losdatos que le conciernan por motivos legtimos imperiosos relacionados con su situacin particular.

3. Restricciones a la transferencia ulterior: La posterior transferencia de datos personales del importador de datos a otroresponsable del tratamiento establecido en un tercer pas que no proporcione proteccin adecuada o no amparado poruna Decisin de la Comisin adoptada con arreglo al apartado 6 del artculo 25 de la Directiva 95/46/CE (transferenciaulterior) solamente podr tener lugar si:

a) los interesados, en el caso de categoras especiales de datos, han dado su consentimiento de forma inequvoca parala transferencia ulterior, o, en otros casos, han tenido la oportunidad de ejercer su derecho de formular objeciones.

La informacin mnima que se debe proporcionar a los interesados incluir, en un idioma comprensible para ellos: la finalidad de la transferencia ulterior, la identificacin del exportador de datos establecido en la Comunidad, las categoras de destinatarios posteriores de los datos y los pases de destino, as como una explicacin de que, tras la transferencia ulterior, los datos podrn ser tratados por un responsable del

tratamiento establecido en un pas donde no haya un nivel adecuado de proteccin de la vida privada de laspersonas; o

b) el exportador de datos y el importador de datos acuerdan la adhesin a las clusulas de otro responsable deltratamiento, que pase con ello a ser parte de las presentes clusulas y asuma las mismas obligaciones que elimportador de datos.

Clausula Tipo Ue

Documents

Transcript of Clausula Tipo Ue